Please enable JavaScript.

Coggle requires JavaScript to display documents.

27006(2) - Coggle Diagram

- - - - Критерії сертифікаційного аудиту
        
        Аудит СМІБ організації-клієнта повинен здійснюватися на основі критеріїв, що містяться в стандарті ISO / IEC 27001 по СМІБ.
      - Політика і процедури
        
        Документація органу сертифікації повинна включати політику та процедури здійснення процесу сертифікації
      - Аудиторська група
        
        Аудиторська група повинна офіційно призначатися і забезпечуватися відповідними робочими документами
    - - Аудиторська група повинна перевірити СМІБ організації-клієнта, що входить в задану область дії
    - - Час має розраховуватися на основі таких факторів, як:
        
        масштаб області дії СМІБ
        
        складність СМІБ
        
        вид (и) діяльності, здійснюваної в рамках області дії СМІБ
        
        кількість об'єктів організації-клієнта
        
        раніше продемонстроване функціонування СМІБ
        
        стандарти і нормативні вимоги, що застосовуються до сертифікації
    - - Орган сертифікації повинен мати процедури, що дозволяють вимагати від організації-клієнта здатності продемонструвати, що внутрішні аудити СМІБ сплановані, а програма та процедури їх проведення є чинними.
  - - - До всієї аудиторської групи застосовуються такі вимоги:
        
        в кожній з розглянутих областей, принаймні, один член аудиторської групи повинен задовольняти критеріям органу сертифікації
        
        керівництво групою
        
        системи і процеси менеджменту, застосовні в СМІБ
        
        знання законодавчих і нормативних вимог в окремій галузі інформаційної безпеки
        
        ідентифікацію загроз інформаційній безпеці і тенденцій інцидентів
        
        ідентифікацію вразливостей організації-клієнта і розуміння ймовірності їх використання, впливу, зменшення і контролю
        
        знання засобів контролю СМІБ і їх реалізації
        
        знання аналізу результативності СМІБ і засобів контролю
        
        знання методів обробки інцидентів і забезпечення безперервності бізнесу
        
        b) аудиторська група повинна бути компетентною для відстеження вказівок на інциденти безпеки в СМІБ організації-клієнта до відповідних елементів СМІБ;
        
        c) аудиторська група повинна володіти відповідним досвідом роботи і застосовувати вищевказані пункти на практиці
    - - Перший етап аудиту
        
        На цьому етапі аудиту орган сертифікації повинен отримати документацію з проектування СМІБ, включаючи документацію, необхідну за ISO / IEC 27001: 2005, пункт 4.3.1.
      - Другий етап аудиту
        
        Цілями другого етапу аудиту є:
        
        a) підтвердження, що організація-клієнт дотримується власних політики, цілей і процедур
        
        b) підтвердження відповідності СМІБ всім вимогам стандарту ISO / IEC 27001: 2005 та цілям політики організації-клієнта
        
        Для здійснення цього, аудит повинен бути зосереджений на наступному
        
        a) оцінки ризиків інформаційної безпеки і на те, чи дають ці оцінки зіставні і відтворювані результати
        
        b) вимоги до документації, перерахованих в ISO / IEC 27001: 2005, пункт 4.3.1;
        
        c) виборі цілей контролю і засобів контролю, заснованих на оцінці ризику і процесах обробки ризику;
        
        d) аналізі результативності СМ І Б і вимірах результативності засобів контролю інформаційної безпеки, складанні звітів і проведення аналізу щодо цілей СМІБ
        
        e) внутрішніх аудитів СМІБ і аналізування з боку керівництва
        
        f) відповідальності керівництва за політику інформаційної безпеки
        
        Особливі елементи аудиту СМІБ
        
        Органи сертифікації повинні:
        
        a) вимагати від організації-клієнта свідоцтва, що аналіз загроз, пов'язаних з інформаційною безпекою, є значимим і відповідним роботі організації-клієнта;
        
        b) встановити, чи узгоджуються процедури організації-клієнта з ідентифікації, вивчення та оцінці загроз, пов'язаних з інформаційною безпекою активів, уразливості і впливів, і результати їх застосування з політикою, цілями і планами організації-клієнта.
      - Правове і нормативне відповідність
        
        Підтримка і оцінка виконання правових і нормативних норм є обов'язком організації-клієнта
      - Інтеграція документації системи менеджменту інформаційної безпеки з документацією інших систем менеджменту
      - Рішення про сертифікацію
        
        Суб'єкт, який може бути фізичною особою, що приймає рішення про дозвіл / скасування сертифікації в рамках органу сертифікації, повинен мати достатній рівень знань і досвіду у всіх областях для оцінки процедур аудиту і рекомендацій аудиторської групи.
        
        Рішення про сертифікацію СМІБ організації-клієнта повинно прийматися органом сертифікації на основі інформації, зібраної в процесі сертифікації, і будь-який інший інформації, що відноситься до справи.